GB/T 44462.2-2024 工业互联网企业网络安全 第2部分：平台企业防护要求

ICS35030

CCSM.10

中华人民共和国国家标准

GB/T444622—2024

.

工业互联网企业网络安全

第2部分平台企业防护要求

:

Industrialinternetenterprisecybersecurity—

Part2Protectionreuirementsofindustrialinternetlatformenterrise

:qpp

2024-09-29发布2025-01-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T444622—2024

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

工业互联网平台企业安全防护级别的确定

5……………2

工业互联网平台企业安全防护范围

6……………………2

工业互联网平台企业安全防护要求

7……………………2

初始级防护要求

7.1……………………2

基本级防护要求

7.2……………………10

增强级防护要求

7.3……………………21

附录资料性工业互联网平台企业安全防护范围

A()…………………30

参考文献

……………………31

Ⅰ

GB/T444622—2024

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是工业互联网企业网络安全的第部分已经发布了以下

GB/T44462《》2。GB/T44462

部分

:

第部分应用工业互联网的工业企业防护要求

———1:;

第部分平台企业防护要求

———2:;

第部分标识解析企业防护要求

———3:。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中华人民共和国工业和信息化部提出

。

本文件由全国通信标准化技术委员会和全国网络安全标准化技术委员会

(SAC/TC485)(SAC/TC260)

共同归口

。

本文件起草单位中国信息通信研究院国家工业信息安全发展研究中心中国软件评测中心工业

:、、(

和信息化部软件与集成电路促进中心中国工业互联网研究院中国电子技术标准化研究院北京航空

)、、、

航天大学上海宝信软件股份有限公司卡奥斯物联科技股份有限公司杭州安恒信息技术股份有限公

、、、

司南京中新赛克科技有限责任公司奇安信科技集团股份有限公司北京天融信网络安全技术有限公

、、、

司北京珞安科技有限责任公司北京启明星辰信息安全技术有限公司北京神州绿盟科技有限公司

、、、、

国网电商科技有限公司北京升鑫网络科技有限公司郑州信大捷安信息技术股份有限公司北京信安

、、、

世纪科技股份有限公司国能大渡河大数据服务有限公司富士康工业互联网股份有限公司腾讯

、、、

深圳科技有限公司国网河南省电力公司西安热工研究院有限公司上海电器科学研究所集团有

()、、、()

限公司北京六方云信息技术有限公司长扬科技北京股份有限公司

、、()。

本文件主要起草人魏亮赵爽李诗婧张倩柯皓仁马娟于广琛李艺秦国英王吉吴诗雨

:、、、、、、、、、、、

王冲华周昊张哲宇王斌斌余涛徐洪涛李俊鹏唐刚张德馨查奇文李琳糜靖峰洪晟安成飞

、、、、、、、、、、、、、、

刘畅寇增杰张晓东崔莹莹尹雅伟郭兴科张福刘为华焦靖伟李林罗玮党芳芳李帅杨东

、、、、、、、、、、、、、、

苑鹏飞李江力汪义舟

、、。

Ⅲ

GB/T444622—2024

.

引言

工业互联网企业数量众多信息化发展程度不同且承载业务类型相异所属行业网络安全防护规律

、,

差异化明显为解决现有网络安全防护要求无法满足工业互联网企业发展实际需求的问题需实施工业

,,

互联网企业网络安全分类分级管理并编制相关标准

。

工业互联网企业网络安全是指导工业互联网企业开展网络安全分类分级防护工作

GB/T44462《》

的基础性标准旨在针对应用工业互联网的工业企业工业互联网平台企业工业互联网标识解析企业

,、、

及企业数据安全提出不同级别的网络安全管理及安全防护技术要求用于指导企业落实与自身级别相

,,

适应的安全防护措施由于文件的使用者需求不同由四个部分构成

,,。

第部分应用工业互联网的工业企业防护要求目的在于提出应用工业互联网的工业企业

———1:。

开展网络安全分类分级防护工作需要落实的安全要求

。

第部分平台企业防护要求目的在于提出工业互联网平台企业开展网络安全分类分级防

———2:。

护工作需要落实的安全要求

。

第部分标识解析企业防护要求目的在于提出工业互联网标识解析企业开展网络安全分

———3:。

类分级防护工作需要落实的安全要求

。

第部分数据防护要求目的在于提出工业互联网企业开展网络安全分类分级防护工作需

———4:。

要落实的数据安全要求

。

本文件面向工业互联网平台企业提出了初始级基本级增强级三个不同级别的安全要求指导企

,、、,

业实施工业互联网安全分类分级管理工作为工业互联网平台企业加强网络安全防护能力建设奠定

,

基础

。

Ⅳ

GB/T444622—2024

.

工业互联网企业网络安全

第2部分平台企业防护要求

:

1范围

本文件规定了工业互联网平台企业在接入层基础设施层平台层应用层管理以及物理环境等方

、、、、

面不同级别的网络安全防护要求

。

本文件适用于指导工业互联网平台企业开展网络安全分类分级防护工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术信息系统密码应用基本要求

GB/T39786

工业互联网总体网络架构

GB/T42021

数据中心设计规范

GB50174

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T42021。

31

.

工业互联网industrialinternet

新一代信息通信技术与工业经济深度融合的新型基础设施应用模式和工业生态通过对人机

、,、、

物系统等的全面连接构建起覆盖全产业链全价值链的全新制造和服务体系

、,、。

来源

[:GB/T42021—2022,3.1]

32

.

工业互联网平台industrialinternetplatform

面向制造业数字化网络化智能化需求构建基于海量数据采集汇聚分析的服务体系支撑制造

、、,、、,

资源泛在连接弹性供给高效配置的工业云平台

、、。

33

.

工业互联网平台企业industrialinternetplatformenterprise

面向制造业数字化网络化智能化需求基于云平台等方式对外提供工业大数据工业等资

、、,、APP

源和公共服务的企业

。

4缩略语

下列缩略语适用于本文件

。

应用程序

APP:(Application)

1

GB/T444622—2024

.

中央处理器

CPU:(CentralProcessingUnit)

网际互连协议

IP:(InternetProtocol)

公钥基础设施

PKI:(PublicKeyInfrastructure)

安全套接层

SSL:(SecureSocketLayer)

5工业互联网平台企业安全防护级别的确定

工业互联网平台企业应按照工业互联网企业网络安全定级方法相关标准划分级别由低到高划分

,

为一级二级三级采取不同程度的安全防护工业互联网平台企业的安全防护要求分为初始级基本

、、,。、

级和增强级三个级别如表所示其中

,1,:

一级工业互联网平台企业应按照初始级防护要求采取防护措施

———;

二级工业互联网平台企业应按照基本级防护要求采取防护措施

———;

三级工业互联网平台企业应按照增强级防护要求采取防护措施

———。

表1工业互联网平台企业安全防护级别的确定

企业级别安全防护要求级别

一级初始级

二级基本级

三级增强级

6工业互联网平台企业安全防护范围

工业互联网平台企业安全防护范围从接入层安全基础设施层安全平台层安全应用层安全安全

、、、、

管理以及物理环境安全要求等方面展开参见附录具体内容包括

,A。:

接入层安全防护主要指针对网关等接入设备提出安全防护规范包括接入设备安全接入层

a):,、

网络安全等方面

;

基础设施层安全防护包括计算环境安全网络安全网络设备安全虚拟化安全等方面

b):、、、;

平台层安全防护包括通用组件安全通用接口安全容器安全等方面

c):、、;

应用层安全防护包括面向各类工业应用场景的业务应用安全等方面

d):;

安全管理包括机构管理制度管理人员管理安全建设管理安全运维管理等方面

e):、、、、;

物理环境安全包括物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防

f):、、、、、

潮防静电温湿度控制电力供应电磁防护等方面

、、、、。

7工业互联网平台企业安全防护要求

71初始级防护要求

.

711接入层安全防护要求

..

7111接入设备安全防护要求

...

71111设备硬件安全

....

本项要求包括

:

2

GB/T444622—2024

.

应使用物理方式移除或覆盖硬件接口敏感引脚等关键物理接口避免硬件调试接口直接暴露若

、,,

确需使用应设置严格的访问控制手段

,。

71112设备系统安全

....

本项要求包括

:

设备应具备通过升级或更新的方式消除安全漏洞的能力

a);

设备不应存在已公布的漏洞或具备补救措施防范漏洞安全风险

b),;

系统设计应符合最小特权原则用户只拥有执行其任务所需的最小权限并禁止所有未被允许

c),,

的权限

;

应禁用不安全的远程管理服务如确需远程管理应使用安全的通信协议

d),,;

应对登录调试远程管理设备的用户进行身份标识和鉴别

e)、、;

身份标识应具有不易被冒用的特点鉴别信息应具有复杂度要求并定期更换

f),;

应依法记录并留存相关访问日志日志留存时长不少于个月

g),6。

71113设备接入安全

....

本项要求包括

:

应对接入工业互联网平台中的设备进行身份鉴别确保接入设备为已授权的合法设备

,。

7112接入层网络安全防护要求

...

71121安全通信

....

本项要求包括

:

设备在通信过程中应对敏感数据重要参数进行加密保证传输数据内容的机密性

a)、,;

设备在通信过程中应具备安全机制以确保数据传输的连续性避免数据丢失

b),,;

设备在通信过程中进行完整性校验保证传输数据的有效性和完整性

c),;

应对接入层网络行为安全事件等日志记录进行保护如定期备份或配置日志访问权限等避

d)、,,

免记录受到未预期的删除修改或覆盖等

、。

71122访问控制

....

本项要求包括

:

应对接入设备的地址端口协议等进行检查以允许拒绝数据进出

、、,/。

712基础设施层安全防护要求

..

7121计算环境安全防护要求

...

71211身份鉴别

....

本项要求包括

:

应对登录计算环境的用户进行身份标识和鉴别

a);

用户身份标识应具有不易被冒用的特点鉴别信息应具有复杂度要求并定期更换

b),;

应对计算环境身份鉴别过程设置登录失败处理措施防止暴力破解

c),。

71212访问控制

....

本项要求包括

:

3

GB/T444622—2024

.

应及时删除或重命名默认账户修改默认账户的默认口令并删除多余账户

a),,;

应根据用户的角色分配权限实现用户的权限分离仅授予用户所需的最小权限

b),,。

71213安全审计

....

本项要求包括

:

应对用户重要操作行为安全事件等进行日志记录日志留存时长不少于个月

a)、,6;

应对日志记录进行保护有效期内避免受到非授权的访问篡改覆盖或删除等

b),、、。

71214资源控制

....

本项要求包括

:

应对登录计算环境的并发会话数进行限制

。

71215恶意代码防范

....

本项要求包括

:

应具备恶意代码检测和防范能力

a);

应对恶意代码库进行维护和及时更新

b)。

71216入侵防范

....

本项要求包括

:

应关闭不使用的服务或端口防止非授权访问

a),;

计算设备应遵循最小化安装的原则仅安装需要的组件和应用程序

b),。

7122网络安全防护要求

...

71221架构安全

....

本项要求包括

:

应绘制与当前运行情况相符的网络拓扑结构图

。

71222访问控制

....

本项要求包括

:

应对跨越边界的访问和数据流提供访问控制措施

a);

应对访问数据的源地址目的地址源端口目的端口和协议等进行检查以判断允许拒绝数

b)、、、,/

据进出

;

应能根据会话状态信息为数据流提供明确的允许拒绝访问的能力

c)/。

71223安全审计

....

本项要求包括

:

应监测记录网络运行状态网络安全事件并留存相关的网络日志不少于个月

a)、、,6;

应对日志记录进行保护有效期内避免受到非授权的访问篡改覆盖或删除等

b),、、。

71224入侵防范

....

本项要求包括

:

应在关键网络节点处检测和记录网络攻击行为

。

4

GB/T444622—2024

.

7123